Delen via

Verificatie op basis van Microsoft Entra-certificaten configureren

  • Artikel

Met Microsoft Entra-verificatie op basis van certificaten (CBA) kunnen organisaties hun Microsoft Entra-tenants zo configureren dat gebruikers zich kunnen verifiëren met X.509-certificaten die zijn gemaakt door hun PKI (Enterprise Public Key Infrastructure) voor aanmelding bij apps en browsers. Met deze functie kunnen organisaties phishingbestendige moderne verificatie zonder wachtwoord gebruiken met behulp van een x.509-certificaat.

Tijdens het aanmelden zien gebruikers ook een optie voor verificatie met een certificaat in plaats van een wachtwoord in te voeren. Als er meerdere overeenkomende certificaten aanwezig zijn op het apparaat, kan de gebruiker kiezen welke certificaten te gebruiken. Het certificaat wordt gevalideerd op basis van het gebruikersaccount en als het lukt, melden ze zich aan.

Volg deze instructies voor het configureren en gebruiken van Microsoft Entra CBA voor tenants in Office 365 Enterprise- en US Government-abonnementen. U moet al een PKI (Public Key Infrastructure) hebben geconfigureerd.

Vereisten

Zorg ervoor dat aan de volgende voorwaarden is voldaan:

  • Configureer ten minste één certificeringsinstantie (CA) en tussenliggende CA's in Microsoft Entra-id.
  • De gebruiker moet toegang hebben tot een gebruikerscertificaat (uitgegeven vanuit een vertrouwde openbare-sleutelinfrastructuur die is geconfigureerd op de tenant) die is bedoeld voor clientverificatie voor verificatie bij Microsoft Entra-id.
  • Elke CA moet een certificaatintrekkingslijst (CRL) hebben waarnaar kan worden verwezen vanuit internetgerichte URL's. Als de vertrouwde CA geen CRL heeft geconfigureerd, voert Microsoft Entra-id geen CRL-controle uit, werkt het intrekken van gebruikerscertificaten niet en wordt verificatie niet geblokkeerd.

Belangrijk

Zorg ervoor dat de PKI veilig is en niet eenvoudig kan worden aangetast. In het geval van een inbreuk kan de aanvaller clientcertificaten maken en ondertekenen en elke gebruiker in de tenant in gevaar brengen, zowel gebruikers die worden gesynchroniseerd vanuit on-premises als alleen-cloudgebruikers. Een sterke strategie voor sleutelbeveiliging, samen met andere fysieke en logische besturingselementen, zoals HSM-activeringskaarten of tokens voor de beveiligde opslag van artefacten, kan echter diepgaande verdediging bieden om te voorkomen dat externe aanvallers of insiderbedreigingen de integriteit van de PKI in gevaar brengen. Zie voor meer informatie PKI beveiligen.

Belangrijk

Ga naar de Aanbevelingen van Microsoft voor aanbevolen procedures voor Microsoft Cryptographic met betrekking tot algoritmekeuze, sleutellengte en gegevensbescherming. Zorg ervoor dat u een van de aanbevolen algoritmen, sleutellengte en goedgekeurde NIST-curven gebruikt.

Belangrijk

Als onderdeel van doorlopende beveiligingsverbeteringen voegen Azure/M365-eindpunten ondersteuning toe voor TLS1.3 en dit proces duurt naar verwachting enkele maanden om de duizenden service-eindpunten in Azure/M365 te dekken. Dit omvat het Microsoft Entra-eindpunt dat wordt gebruikt door verificatie op basis van certificaten (CBA) *.certauth.login.microsoftonline.com van Microsoft Entra en *.certauth.login.microsoftonline.us. TLS 1.3 is de nieuwste versie van het meest geïmplementeerde beveiligingsprotocol van internet, waarmee gegevens worden versleuteld om een beveiligd communicatiekanaal tussen twee eindpunten te bieden. TLS 1.3 elimineert verouderde cryptografische algoritmen, verbetert de beveiliging ten opzichte van oudere versies en streeft ernaar zoveel mogelijk handshake te versleutelen. We raden ontwikkelaars ten zeerste aan om TLS 1.3 te testen in hun toepassingen en services.

Notitie

Bij het evalueren van een PKI is het belangrijk om certificaatuitgiftebeleid en afdwinging te controleren. Zoals vermeld, staat het toevoegen van certificeringsinstanties (CA's) aan Microsoft Entra-configuratie toe dat certificaten die door deze CA's worden uitgegeven, elke gebruiker in Microsoft Entra-id verifiëren. Daarom is het belangrijk om na te denken over hoe en wanneer de CA's certificaten mogen uitgeven en hoe ze herbruikbare id's implementeren. Wanneer beheerders ervoor moeten zorgen dat alleen een specifiek certificaat kan worden gebruikt om een gebruiker te verifiëren, moeten beheerders uitsluitend gebruik maken van bindingen met hoge affiniteit om een hoger niveau van zekerheid te bereiken dat alleen een specifiek certificaat de gebruiker kan verifiëren. Zie bindingen met hoge affiniteit voor meer informatie.

Stappen voor het configureren en testen van Microsoft Entra CBA

Er moeten enkele configuratiestappen worden uitgevoerd voordat u Microsoft Entra CBA inschakelt. Eerst moet een beheerder de vertrouwde CA's configureren die gebruikerscertificaten verlenen. Zoals u in het volgende diagram ziet, gebruiken we op rollen gebaseerd toegangsbeheer om ervoor te zorgen dat alleen beheerders met minimale bevoegdheden wijzigingen moeten aanbrengen.

Belangrijk

Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Met deze procedure kunt u de beveiliging voor uw organisatie verbeteren. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen of wanneer u geen bestaande rol kunt gebruiken.

U kunt ook verificatiebindingen configureren om certificaten toe te wijzen aan verificatie met één factor of meervoudige verificatie en gebruikersnaambindingen configureren om het certificaatveld toe te wijzen aan een kenmerk van het gebruikersobject. Beheerders van verificatiebeleid kunnen instellingen voor gebruikers configureren. Zodra alle configuraties zijn voltooid, schakelt u Microsoft Entra CBA in op de tenant.

Diagram van de stappen die nodig zijn om verificatie op basis van certificaten van Microsoft Entra in te schakelen.

Stap 1: de certificeringsinstanties configureren met een op PKI gebaseerd vertrouwensarchief (preview)

Entra heeft een nieuw op PKI gebaseerde certificeringsinstantie (CA) vertrouwenswinkel. De PKI-gebaseerde vertrouwensopslag voor CA's bewaart CA's binnen een containerobject voor elke PKI. Beheerders kunnen CA's in een container beheren op basis van PKI, eenvoudiger dan één platte lijst met CA's.

Het vertrouwensarchief op basis van PKI heeft hogere limieten voor het aantal CA's en de grootte van elk CA-bestand. Een vertrouwensarchief op basis van PKI ondersteunt maximaal 250 CA's en 8 kB-grootte voor elk CA-object. We raden u ten zeerste aan om het nieuwe op PKI gebaseerde vertrouwensarchief te gebruiken voor het opslaan van CA's, wat schaalbaar is en nieuwe functionaliteit ondersteunt, zoals hints voor verleners.

Notitie

Als u het oude vertrouwensarchief gebruikt om CA's te configureren, raden we u aan om een vertrouwensarchief op basis van PKI te configureren.

Een beheerder moet de vertrouwde CA's configureren die gebruikerscertificaten uitgeven. Alleen beheerders met minimale bevoegdheden zijn nodig om wijzigingen aan te brengen. Een op PKI gebaseerde vertrouwenswinkel heeft de RBAC-rol Privilege Authentication Administrator.

Upload PKI-functie van de PKI-gebaseerde vertrouwensopslag is alleen beschikbaar met een Microsoft Entra ID P1- of P2-licentie. Met een gratis licentie kunnen beheerders echter alle CA's afzonderlijk uploaden in plaats van het PKI-bestand en het vertrouwensarchief op basis van PKI configureren.

Certificeringsinstanties configureren met behulp van het Microsoft Entra-beheercentrum

Een PKI-containerobject maken

  1. Maak een PKI-containerobject.

  2. Meld u aan bij het Microsoft Entra-beheercentrum als Administrator voor verificatie van bevoegdheden.

  3. Blader naar Beveiliging>Meer weergeven>Veiligheidscentrum (of Identiteitsbeveiligingsscore) >Openbare-sleutelinfrastructuur (Preview).

  4. Klik op + PKI maken.

  5. Voer de Weergavenaam in.

  6. Klik op Create.

    Diagram van de stappen die nodig zijn om een PKI te maken.

  7. Selecteer Kolommen om kolommen toe te voegen of te verwijderen.

  8. Selecteer Vernieuwen om de lijst met PKI's te vernieuwen.

Een PKI-containerobject verwijderen

  1. Als u een PKI wilt verwijderen, selecteert u de PKI en selecteert u Verwijderen. Als de PKI ca's bevat, voert u de naam van de PKI in om te bevestigen dat alle CA's erin worden verwijderd en selecteert u Verwijderen.

    Diagram van de stappen die nodig zijn om een PKI te verwijderen.

Afzonderlijke CA's uploaden naar het PKI-containerobject

  1. Een CA uploaden naar de PKI-container:

    1. Klik op + Certificeringsinstantie toevoegen.

    2. Kies het CA-bestand.

    3. Kies Ja als de CA een basiscertificaat is, kies anders Nee.

    4. Voor de URL van de certificaatintrekkingslijst stelt u de internetgerichte URL in voor de CA-basis-CRL die alle ingetrokken certificaten bevat. Als de URL niet is ingesteld, mislukt de verificatie met ingetrokken certificaten niet.

    5. Stel voor de URL van de Delta-certificaatintrekkingslijst de internet-URL in voor de CRL die alle ingetrokken certificaten bevat sinds de laatste basis-CRL is gepubliceerd.

    6. De Hints voor uitgevers-vlag is standaard ingeschakeld. Schakel hints voor verleners uit als de CA niet moet worden opgenomen in hints voor verleners.

    7. Selecteer Opslaan.

    8. Als u een CA-certificaat wilt verwijderen, selecteert u het certificaat en selecteert u Verwijderen.

      Diagram van het verwijderen van een CA-certificaat.

    9. Selecteer Kolommen om kolommen toe te voegen of te verwijderen.

    10. Selecteer Vernieuwen om de lijst met CA's te vernieuwen.

Upload alle CA's met PKI in het PKI-containerobject

  1. Alle CA's tegelijk uploaden naar de PKI-container:

    1. Maak een PKI-containerobject of open er een.
    2. Selecteer PKI uploaden.
    3. Voer de internetgerichte HTTP-URL in waar het .p7b-bestand beschikbaar is.
    4. Voer de SHA256-controlesom van het bestand in.
    5. Selecteer het uploaden.
    6. Upload PKI is een asynchroon proces. Wanneer elke CA wordt geüpload, is deze beschikbaar in de PKI. Het uploaden van PKI kan tot 30 minuten duren.
    7. Selecteer Vernieuwen om de CA's te vernieuwen.

    Voer deze opdracht uit om de SHA256-controlesom van het PKI .p7b-bestand te genereren:

    Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

Een PKI bewerken

  1. Als u PKI wilt bewerken, selecteert u ... in de rij PKI en selecteert u Bewerken.
  2. Voer een nieuwe PKI-naam in en selecteer Opslaan.

Een CA bewerken

  1. Als u CA wilt bewerken, selecteert u ... in de ca-rij en selecteert u Bewerken.
  2. Voer indien nodig nieuwe waarden in voor het type certificeringsinstantie (root/tussenliggend), CRL-URL, Delta CRL-URL, vlag voor hints voor verleners ingeschakeld en selecteer Opslaan.

Een PKI herstellen

  1. Selecteer het tabblad Verwijderde PKI's .
  2. Selecteer de PKI en kies PKI herstellen.

Een CA herstellen

  1. Selecteer het tabblad Verwijderde CA's .
  2. Selecteer het CA-bestand en selecteer Certificeringsinstantie herstellen.

Inzicht in het kenmerk isIssuerHintEnabled op CA

Hints van de uitgever sturen een vertrouwde CA-indicatie terug als onderdeel van de TLS-handshake (Transport Layer Security). De lijst met vertrouwde CA's is ingesteld op de inhoud van de CA's die door de huurder zijn geüpload in de vertrouwenswinkel van Entra. Voor meer informatie over aanwijzingen voor uitgevers, zie Begrijpen van aanwijzingen voor uitgevers.

Als standaardinstelling worden de onderwerpnamen van alle certificeringsinstanties in de Vertrouwenswinkel van Microsoft Entra als hints doorgestuurd. Als u een hint met alleen specifieke CA's wilt terugsturen, stelt u het kenmerk isIssuerHintEnabled in op true.

Er is een tekenlimiet van 16 kB voor de hints voor verleners (onderwerpnaam van de CA) die de server naar de TLS-client kan verzenden. Als een goede gewoonte stelt u het kenmerk isIssuerHintEnabled alleen in op true voor de CAs die gebruikerscertificaten uitgeven.

Als meerdere tussenliggende CA's uit hetzelfde basiscertificaat de certificaten van eindgebruikers uitgeven, worden standaard alle certificaten weergegeven in de certificaatkiezer. Maar als u isIssuerHintEnabled instelt op true specifieke CA's, worden alleen de juiste gebruikerscertificaten weergegeven in de certificaatkiezer. Als u isIssuerHintEnabled wilt inschakelen, bewerkt u de CA en werkt u de waarde bij naar true.

Certificeringsinstanties configureren met behulp van de Microsoft Graph-API's

Microsoft Graph API's kunnen worden gebruikt om CA's te configureren. In de volgende voorbeelden ziet u hoe u Met Microsoft Graph CRUD-bewerkingen (Create, Read, Update of Delete) kunt uitvoeren voor een PKI of CA.

Een PKI-containerobject maken

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/
Content-Type: application/json
{
   "displayName": "ContosoPKI"
}

Alle PKI-objecten ophalen

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations
ConsistencyLevel: eventual

PKI-object ophalen met PKI-id

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/
ConsistencyLevel: eventual

CA's uploaden met een .p7b-bestand

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
Content-Type: application/json
{
    	"uploadUrl":"https://CBA/demo/CBARootPKI.p7b,
    	"sha256FileHash": "AAAAAAD7F909EC2688567DE4B4B0C404443140D128FE14C577C5E0873F68C0FE861E6F"
}

Alle CA's in een PKI ophalen

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities
ConsistencyLevel: eventual

Een specifieke CA ophalen binnen een PKI per CA-id

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
ConsistencyLevel: eventual

Vlag voor aanwijzingen van specifieke CA-uitgevers bijwerken

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
Content-Type: application/json
{
   "isIssuerHintEnabled": true
}

Configureer certificeringsinstanties (CA) met behulp van PowerShell voor deze configuratie. U kunt [Microsoft Graph PowerShell] (/powershell/microsoftgraph/installation) gebruiken.

  1. Start PowerShell met beheerdersbevoegdheden.

  2. Installeer en importeer de Microsoft Graph PowerShell SDK.

    Install-Module Microsoft.Graph -Scope AllUsers
Import-Module Microsoft.Graph.Authentication
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  3. Maak verbinding met de tenant en accepteer alles.

       Connect-MGGraph -Scopes "Directory.ReadWrite.All", "User.ReadWrite.All" -TenantId <tenantId>

Auditlogboek

CRUD-bewerkingen op een PKI of CA binnen de trust store worden gelogd in de auditlogboeken van Microsoft Entra.

Diagram van auditlogboeken.

Veelgestelde vragen

Vraag: Waarom mislukt het uploaden van PKI?

Antwoord: Controleer of het PKI-bestand geldig is en zonder problemen toegankelijk is. De maximale grootte van het PKI-bestand moet zijn

Vraag: Wat is de SLA (Service Level Agreement) voor PKI-upload?

Antwoord: PKI-upload is een asynchrone bewerking en kan tot 30 minuten duren voordat het is voltooid.

Vraag: Hoe genereert u sha256-controlesom voor PKI-bestand?

Antwoord: Voer deze opdracht uit om de SHA256-controlesom van het PKI.p7b-bestand te genereren:

Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

Stap 2: CBA inschakelen op de tenant

Belangrijk

Een gebruiker wordt beschouwd als geschikt voor MFA wanneer de gebruiker het bereik heeft voor verificatie op basis van certificaten in het beleid voor verificatiemethoden. Deze beleidsvereiste betekent dat een gebruiker geen bewijs kan gebruiken als onderdeel van de verificatie om andere beschikbare methoden te registreren. Als de gebruikers geen toegang hebben tot certificaten, worden ze vergrendeld en kunnen ze geen andere methoden voor MFA registreren. Beheerders van verificatiebeleid moeten alleen CBA inschakelen voor gebruikers die geldige certificaten hebben. Neem niet alle gebruikers op voor CBA. Gebruik alleen groepen gebruikers met geldige certificaten die beschikbaar zijn. Zie Microsoft Entra multifactor authentication voor meer informatie.

Voer de volgende stappen uit om CBA in te schakelen in het Microsoft Entra-beheercentrum:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.

  2. Blader naar Groepen>Alle groepen> selecteer Nieuwe groep en maak een groep voor CBA-gebruikers.

  3. Blader naar Bescherming>Verificatiemethoden>Certificaatgebaseerde verificatie.

  4. Door onder Inschakelen en Doelde optie Inschakelente selecteren, en klik op Ik bevestig.

  5. Klik op Groepen selecterenen klik op Groepen toevoegen.

  6. Kies specifieke groepen zoals de groep die u hebt gemaakt en klik op Selecteer. Gebruik specifieke groepen in plaats van alle gebruikers.

  7. Wanneer u klaar bent, klikt u op Opslaan.

    Schermopname van hoe CBA in te schakelen.

Zodra verificatie op basis van certificaten is ingeschakeld voor de tenant, zien alle gebruikers in de tenant de optie om zich aan te melden met een certificaat. Alleen gebruikers die zijn ingeschakeld voor CBA kunnen zich verifiëren met behulp van het X.509-certificaat.

Notitie

De netwerkbeheerder moet, naast login.microsoftonline.com, toegang tot het certificaatauth-eindpunt toestaan voor de cloudomgeving van de klant. Schakel TLS-inspectie uit op het certauth-eindpunt om ervoor te zorgen dat de aanvraag voor het clientcertificaat slaagt als onderdeel van de TLS-handshake.

Stap 3: Verificatiebindingsbeleid configureren

Het verificatiebindingsbeleid helpt bij het bepalen van de sterkte van verificatie voor één factor of meerdere factoren. Het standaardbeveiligingsniveau voor alle certificaten op de tenant is single-factor authentication. De standaardaffiniteitsbinding op tenantniveau is Laag. Een beheerder van het verificatiebeleid kan de standaardinstelling veranderen van een enkelvoudige factor naar multifactor. Als er wijzigingen worden aangebracht, worden al de certificaten in de tenant als sterkte Multi-Factor Authenticationbeschouwd. Op dezelfde manier kan de affiniteitsbinding op tenantniveau worden ingesteld op Hoge, wat betekent dat alle certificaten worden gevalideerd met alleen hoge affiniteitskenmerken.

Belangrijk

De beheerder moet de standaardinstelling voor de tenant instellen op een waarde die van toepassing is op de meeste certificaten en alleen aangepaste regels maken voor specifieke certificaten waarvoor een ander beveiligingsniveau en/of affiniteitsbinding nodig is dan de standaardinstelling van de tenant. Alle configuratie van verificatiemethoden gaat naar hetzelfde beleidsbestand, zodat het maken van meerdere redundante regels de limiet voor het beleidsbestand kan bereiken.

Verificatiebindingsregels koppelen certificaatkenmerken, zoals de uitgever, of het beleidsobject-ID (OID), of de uitgever en het beleidsobject-ID, aan een waarde en selecteren het standaardbeveiligingsniveau en affiniteitsbinding voor die regel. Voer de volgende stappen uit om de standaardinstellingen van de tenant te wijzigen en aangepaste regels te maken in het Microsoft Entra-beheercentrum:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.

  2. Blader naar >beleid voor beveiligingsverificatiemethoden.>

  3. Onder Beheren, selecteer Verificatiemethoden>Op certificaat gebaseerde verificatie.

    Schermopname van verificatiebeleid.

  4. Selecteer Configureren om verificatiebinding en gebruikersnaambinding in te stellen.

  5. Het kenmerk beveiligingsniveau heeft een standaardwaarde voor verificatie met één factor. Selecteer Meervoudige verificatie om de standaardwaarde te wijzigen in MFA.

    Notitie

    De standaardwaarde voor beveiligingsniveau is van kracht als er geen aangepaste regels worden toegevoegd. Als er aangepaste regels worden toegevoegd, wordt in plaats daarvan het beveiligingsniveau toegepast dat is gedefinieerd op regelniveau.

    Schermopname van hoe het standaardbeleid te veranderen in MFA.

  6. U kunt ook aangepaste verificatiebindingsregels instellen om te bepalen welk beveiligingsniveau voor clientcertificaten verschillende waarden nodig hebben voor beveiligingsniveau of affiniteitsbinding dan de standaardinstelling van de tenant. De regels kunnen worden geconfigureerd met behulp van het uitgeveronderwerp of het Policy OID, of beide velden in het certificaat.

    Verificatiebindingsregels wijzen de certificaatkenmerken (verlener of Beleids-OID) toe aan een waarde en selecteren het standaardbeveiligingsniveau voor die regel. Er kunnen meerdere regels worden gemaakt. Voor de onderstaande configuratie gaan we ervan uit dat de standaardinstelling van de tenant is meervoudige verificatie en binding voor lage affiniteit.

    Als u aangepaste regels wilt toevoegen, selecteert u Regel toevoegen.

    Schermopname van hoe een regel toe te voegen.

    Als u een regel wilt maken per certificaatverlener, selecteert u Certificaatverlener.

    1. Kies een certificaatverlener-id in de keuzelijst.

    2. Selecteer multifactorauthenticatie maar hoge affiniteitsbinding en klik vervolgens op toevoegen. Wanneer u hierom wordt gevraagd, klikt u op Ik bevestig dat u klaar bent met het toevoegen van de regel.

      Schermopname van beleid voor meervoudige verificatie.

    Als u een regel wilt maken op beleids-OID, selecteert u Beleids-OID.

    1. Voer een waarde in voor beleids-OID.

    2. Selecteer single-factor authentication, lage affiniteitsbinding en klik vervolgens op Toevoegen. Wanneer u hierom wordt gevraagd, klikt u op Ik bevestig dat u klaar bent met het toevoegen van de regel.

      Schermopname van koppeling aan beleid OID.

    Een regel maken op Uitgevende instantie en Beleids-OID:

    1. Selecteer certificaatverlener en beleids-OID.

    2. Selecteer een verlener en voer de beleids-OID in.

    3. Selecteer voor verificatiesterkte Meervoudige verificatie.

    4. Selecteer voor affiniteitsbinding High.

      Schermopname van het selecteren van een binding met lage affiniteit.

    5. Selecteer Toevoegen.

      Schermopname van het toevoegen van een binding met lage affiniteit.

    6. Verifieer met een certificaat met beleids-OID van 3.4.5.6 en uitgegeven door CN=CBATestRootProd. Authenticatie moet slagen en een multifactoraanspraak verkrijgen.

Belangrijk

Er is een bekend probleem waarbij een Microsoft Entra-tenantverificatiebeleidsbeheerder een CBA-verificatiebeleidsregel configureert met behulp van zowel Issuer als Policy OID. Het probleem heeft gevolgen voor sommige scenario's voor apparaatregistratie, waaronder:

  • Windows Hello voor Bedrijven-inschrijving
  • REGISTRATIE van FIDO2-beveiligingssleutels
  • Aanmelden bij Windows-telefoon zonder wachtwoord

Apparaatregistratie met Workplace Join, Microsoft Entra ID en hybride Microsoft Entra-apparaatdeelnamescenario's worden niet beïnvloed. CBA-verificatiebeleidsregels die gebruikmaken van Uitgever of Beleids-OID worden niet beïnvloed. Beheerders moeten het volgende doen om dit te verhelpen:

  • Bewerk de verificatiebeleidsregels op basis van certificaten die gebruikmaken van de opties Issuer en Policy OID. Verwijder de vereiste van Issuer of Policy OID en Opslaan. -Of-
  • Verwijder de verificatiebeleidsregel die gebruikmaakt van zowel Issuer als Policy OID. Regels maken die alleen Issuer of Policy-OID gebruiken.

We proberen het probleem op te lossen.

Volg deze stappen om een regel te maken op basis van Uitgever en Serienummer:

  1. Voeg een verificatiebindingsbeleid toe. Het beleid vereist dat elk certificaat dat is uitgegeven door CN=CBATestRootProd met policyOID 1.2.3.4.6 alleen een hoge affiniteitsbinding nodig heeft. Verlener en serienummer worden gebruikt.

    Schermopname van Uitgever en Serienummer toegevoegd in het Microsoft Entra-beheercentrum.

  2. Selecteer het certificaatveld. In dit voorbeeld selecteren we Issuer en Serienummer.

    Schermopname van het selecteren van verlener en serienummer.

  3. Het enige ondersteunde gebruikerskenmerk is CertificateUserIds. Selecteer Toevoegen.

    Schermopname van hoe je de uitgever en het serienummer toevoegt.

  4. Selecteer Opslaan.

    In het aanmeldingslogboek ziet u welke binding is gebruikt voor aanmelding en de details van het certificaat.

    Schermopname van aanmeldingslogboek.

  5. Selecteer OK om een aangepaste regel op te slaan.

Belangrijk

Voer de PolicyOID in met behulp van de object-id-indeling. Als in het certificaatbeleid bijvoorbeeld Alle uitgiftebeleidsregels worden vermeld, voert u de OID in als 2.5.29.32.0 wanneer u de regel toevoegt. De tekenreeks Alle uitgiftebeleidsregels is ongeldig voor de regeleditor en wordt niet van kracht.

Stap 4: bindingsbeleid voor gebruikersnaam configureren

Het bindingsbeleid voor gebruikersnaam helpt het certificaat van de gebruiker te valideren. Standaard wijzen we Principal Name in het certificaat toe aan UserPrincipalName in het gebruikersobject om de gebruiker te bepalen.

Een verificatiebeleidsbeheerder kan de standaardinstelling overschrijven en een aangepaste toewijzing maken. Zie Hoe gebruikersnaambinding werkt om te bepalen hoe de gebruikersnaambinding werkt.

Zie Certificaatgebruikers-id's voor andere scenario's die gebruikmaken van het kenmerk certificateUserIds.

Belangrijk

Als voor een bindingsbeleid voor gebruikersnamen gesynchroniseerde kenmerken worden gebruikt, zoals de certificateUserIds, onPremisesUserPrincipalName en het kenmerk userPrincipalName van het gebruikersobject, moet u er rekening mee houden dat accounts met beheerdersbevoegdheden in Active Directory (zoals die met gedelegeerde rechten voor gebruikersobjecten of beheerdersrechten op de Microsoft Entra Connect-server) wijzigingen kunnen aanbrengen die van invloed zijn op deze kenmerken in Microsoft Entra-id.

  1. Maak de gebruikersnaambinding door een van de X.509-certificaatvelden te kiezen om te verbinden met een van de gebruikerskenmerken. De volgorde van de gebruikersnaambinding vertegenwoordigt het prioriteitsniveau van de binding. De eerste heeft de hoogste prioriteit, enzovoort.

    Schermopname van het beleid voor gebruikersnaambinding.

    Als het opgegeven X.509-certificaatveld op het certificaat wordt gevonden, maar Microsoft Entra-id geen gebruikersobject met deze waarde vindt, mislukt de verificatie. Microsoft Entra ID probeert de volgende binding in de lijst.

  2. Als u de wijzigingen wilt opslaan, selecteert u Opslaan.

De uiteindelijke configuratie ziet er als volgt uit:

Schermopname van de uiteindelijke configuratie.

Stap 5: uw configuratie testen

In deze sectie wordt beschreven hoe u uw certificaat en aangepaste regels voor verificatiebinding kunt testen.

Uw certificaat testen

Als eerste configuratietest moet u zich aanmelden bij het MyApps-portal met behulp van uw browser op het apparaat.

  1. Voer uw UPN (User Principal Name) in.

    Schermopname van de gebruikers-principalnaam.

  2. Selecteer Volgende.

    Schermopname van aanmelden met certificaat.

    Als u andere verificatiemethoden zoals Telefoon-aanmelding of FIDO2 hebt ingeschakeld, zien gebruikers mogelijk een ander aanmeldingsscherm.

    Schermopname van de alternatieve aanmelding.

  3. Kies Aanmelden met een certificaat.

  4. Kies het juiste gebruikerscertificaat in de gebruikersinterface van de clientcertificaatkiezer en selecteer OK.

    Schermopname van de UI van de certificaatkiezer.

  5. Gebruikers moeten zijn aangemeld bij de MyApps-portal.

Als uw aanmelding is geslaagd, weet u dat:

  • Het gebruikerscertificaat wordt ingericht in uw testapparaat.
  • Microsoft Entra-id is correct geconfigureerd met vertrouwde CA's.
  • De gebruikersnaambinding is correct geconfigureerd en de gebruiker wordt gevonden en geverifieerd.

Aangepaste regels voor verificatiebinding testen

Laten we een scenario doorlopen waarin we sterke verificatie valideren. We maken twee verificatiebeleidsregels, één met behulp van verleners die afhankelijk zijn van verificatie met één factor, en een andere met behulp van beleids-OID om te voldoen aan meervoudige verificatie.

  1. Maak een onderwerpregel voor issuers met beveiligingsniveau als verificatie met één factor en de waarde ingesteld op de subjectwaarde van uw CA's. Voorbeeld:

    CN = WoodgroveCA

  2. Maak een beleids-OID-regel, met beveiligingsniveau als meervoudige verificatie en waarde ingesteld op een van de beleids-OID's in uw certificaat. Bijvoorbeeld 1.2.3.4.

    Schermopname van de beleids-OID-regel.

  3. Maak een beleid voor voorwaardelijke toegang voor de gebruiker om meervoudige verificatie te vereisen door de volgende stappen uit te voeren bij Voorwaardelijke toegang: MFA vereisen.

  4. Navigeer naar hetMyApps-portal. Voer uw UPN in en selecteer Volgende.

    Schermopname van de gebruikers-principalnaam.

  5. Kies Aanmelden met een certificaat.

    Schermopname van aanmelden met certificaat.

    Als u andere verificatiemethoden zoals Telefoon-aanmelding of beveiligingssleutels hebt ingeschakeld, zien gebruikers mogelijk een ander aanmeldingsscherm.

    Schermopname van de alternatieve aanmelding.

  6. Selecteer het clientcertificaat en selecteer Certificaatgegevens.

    Schermopname van de clientkiezer.

  7. Het certificaat wordt weergegeven en u kunt de verlener en beleids-OID-waarden controleren. Schermopname van de uitgever.

  8. Als u beleids-OID-waarden wilt zien, selecteert u Details.

    Schermopname van de verificatiedetails.

  9. Selecteer het clientcertificaat en selecteer OK.

  10. De beleids-OID in het certificaat komt overeen met de geconfigureerde waarde 1.2.3.4 en voldoet aan meervoudige verificatie. Op dezelfde manier komt de verlener in het certificaat overeen met de geconfigureerde waarde van CN=WoodgroveCA en voldoet deze aan verificatie met één factor.

  11. Omdat de beleids-OID-regel voorrang heeft op de verlenerregel, voldoet het certificaat aan meervoudige verificatie.

  12. Het beleid voor voorwaardelijke toegang voor de gebruiker vereist MFA en het certificaat voldoet aan meerdere factoren, zodat de gebruiker zich kan aanmelden bij de toepassing.

Test het bindingsbeleid voor gebruikersnamen

Het bindingsbeleid voor gebruikersnaam helpt het certificaat van de gebruiker te valideren. Er zijn drie bindingen die worden ondersteund voor het gebruikersnaam-binding beleid:

  • UitgeverEnSerienummer>CertificaatGebruikersIds
  • UitgeverEnOnderwerp>CertificaatGebruikersIds
  • Onderwerp>CertificaatGebruikersIds

Standaard maakt Microsoft Entra ID de hoofdnaam in het certificaat toe aan UserPrincipalName in het gebruikersobject om de gebruiker te bepalen. Een authenticatiebeleidsbeheerder kan de standaardinstelling overschrijven en een aangepaste toewijzing maken, zoals eerder uitgelegd.

Een verificatiebeleidsbeheerder moet de nieuwe bindingen inschakelen. Ze moeten ervoor zorgen dat de juiste waarden voor de bijbehorende gebruikersnaambindingen worden bijgewerkt in het kenmerk CertificateUserIds van het gebruikersobject:

Belangrijk

De notatie van de waarden van Issuer, Subject en SerialNumber moet in de omgekeerde volgorde van de indeling in het certificaat staan. Voeg geen spatie toe aan de uitgever of het onderwerp.

Handmatige toewijzing van uitgever en serienummer

Hier volgt een voorbeeld voor handmatige toewijzing van uitgever en serienummer. De waarde van de uitgever die moet worden toegevoegd, is:

C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate

Schermopname van de waarde Issuer.

Als u de juiste waarde voor serienummer wilt ophalen, voert u de volgende opdracht uit en slaat u de waarde op die wordt weergegeven in CertificateUserIds. De syntaxis van de opdracht is:

Certutil –dump –v [~certificate path~] >> [~dumpFile path~]

Voorbeeld:

certutil -dump -v firstusercert.cer >> firstCertDump.txt

Hier volgt een voorbeeld voor de opdracht certutil:

certutil -dump -v C:\save\CBA\certs\CBATestRootProd\mfausercer.cer 

X509 Certificate: 
Version: 3 
Serial Number: 48efa06ba8127299499b069f133441b2 

   b2 41 34 13 9f 06 9b 49 99 72 12 a8 6b a0 ef 48

De serialNumber-waarde die moet worden toegevoegd in CertificateUserId is:

b24134139f069b49997212a86ba0ef48

CertificateUserId:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<SR> b24134139f069b49997212a86ba0ef48

Handmatige toewijzing van probleem en onderwerp

Hier is een voorbeeld van handmatige toewijzing van vraagstukken en onderwerpen. De waarde van de uitgever is:

Schermopname van de Uitgever-waarde wanneer deze wordt gebruikt met meerdere bindingen.

De waarde "Onderwerp" is:

Schermopname van de waarde van het Subject.

CertificateUserId:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<S> DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Handmatige toewijzing van onderwerp

Hier volgt een voorbeeld voor handmatige toewijzing van onderwerpen. De waarde "Onderwerp" is:

Schermopname van een andere onderwerpwaarde.

CertificateUserId:

X509:<S>DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Affiniteitsbinding testen

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.

  2. Blader naar >beleid voor beveiligingsverificatiemethoden.>

  3. Onder Beheren, selecteer Verificatiemethoden>Op certificaat gebaseerde verificatie.

  4. Selecteer Configureren.

  5. Stel vereiste affiniteitsbinding in op tenantniveau.

    Belangrijk

    Wees voorzichtig met de affiniteitinstelling voor de gehele tenant. U kunt de hele tenant vergrendelen als u de vereiste affiniteitsbinding voor de tenant wijzigt en u geen juiste waarden in het gebruikersobject hebt. Als u ook een aangepaste regel maakt die van toepassing is op alle gebruikers en een binding met hoge affiniteit vereist, kunnen gebruikers in de tenant worden vergrendeld.

    Schermopname van het instellen van de vereiste affiniteitsbinding.

  6. Als u wilt testen, selecteert u Vereiste affiniteitsbinding als laag.

  7. Voeg een binding met hoge affiniteit toe, zoals SKI. Selecteer Regel toevoegen onder Gebruikersnaambinding.

  8. Selecteer SKI en selecteer Toevoegen.

    Schermopname van het toevoegen van een affiniteitsbinding.

    Wanneer u klaar bent, ziet de regel er als volgt uit:

    Schermopname van een voltooide affiniteitsbinding.

  9. Werk het kenmerk CertificateUserIds van alle gebruikersobjecten bij, zodat het de juiste SKI-waarde van het gebruikerscertificaat heeft. Zie Ondersteunde patronen voor CertificateUserIDs voor meer informatie.

  10. Maak een aangepaste regel voor verificatiebinding.

  11. Selecteer Toevoegen.

    Schermopname van een aangepaste verificatiebinding.

    Wanneer u klaar bent, ziet de regel er als volgt uit:

    Schermopname van een aangepaste regel.

  12. Werk de CertificateUserIds van de gebruiker bij met de juiste SKI-waarde van het certificaat met beleidsregel OID 9.8.7.5.

  13. Test met een certificaat met policy OID 9.8.7.5 en de gebruiker moet worden geverifieerd met SKI-binding en MFA ophalen met alleen het certificaat.

CBA inschakelen met behulp van Microsoft Graph API

Voer de volgende stappen uit om CBA in te schakelen en gebruikersnaambindingen te configureren met behulp van Graph API.

  1. Ga naar Microsoft Graph Explorer.

  2. Selecteer Aanmelden bij Graph Explorer en meld u aan bij uw tenant.

  3. Volg de stappen om toestemming te geven voor de gedelegeerde toestemming Policy.ReadWrite.AuthenticationMethod.

  4. GET alle verificatiemethoden:

    GET  https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

  5. Verkrijg de configuratie voor de x509 Certificate authentication method:

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy/authenticationMethodConfigurations/X509Certificate

  6. Standaard is de verificatiemethode x509-certificaat uitgeschakeld. Als u wilt toestaan dat gebruikers zich met een certificaat kunnen aanmelden, moet u de verificatiemethode inschakelen en het beleid voor verificatie- en gebruikersnaambinding configureren via een updatebewerking. Voer een PATCH-aanvraag uit om het beleid bij te werken.

    Verzoekinhoud:

    PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration",
    "id": "X509Certificate",
    "state": "enabled",
    "certificateUserBindings": [
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "onPremisesUserPrincipalName",
            "priority": 1
        },
        {
            "x509CertificateField": "RFC822Name",
            "userProperty": "userPrincipalName",
            "priority": 2
        }, 
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "certificateUserIds",
            "priority": 3
        }
    ],
    "authenticationModeConfiguration": {
        "x509CertificateAuthenticationDefaultMode": "x509CertificateSingleFactor",
        "rules": [
            {
                "x509CertificateRuleType": "issuerSubject",
                "identifier": "CN=WoodgroveCA ",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            },
            {
                "x509CertificateRuleType": "policyOID",
                "identifier": "1.2.3.4",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            }
        ]
    },
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false
        }
    ]
}

  7. U krijgt een 204 No content antwoordcode. Voer de GET-aanvraag opnieuw uit om ervoor te zorgen dat het beleid correct wordt bijgewerkt.

  8. Test de configuratie door u aan te melden met een certificaat dat voldoet aan het beleid.

CBA inschakelen met Microsoft PowerShell

  1. Open PowerShell.
  2. Verbinding maken met Microsoft Graph: 
    Connect-MgGraph -Scopes "Policy.ReadWrite.AuthenticationMethod"
  3. Maak een variabele voor het definiëren van een groep voor CBA-gebruikers: 
    $group = Get-MgGroup -Filter "displayName eq 'CBATestGroup'"
  4. Definieer de aanvraagbody: 
    $body = @{
"@odata.type" = "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration"
"id" = "X509Certificate"
"state" = "enabled"
"certificateUserBindings" = @(
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "SubjectKeyIdentifier"
        "userProperty" = "certificateUserIds"
        "priority" = 1
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "PrincipalName"
        "userProperty" = "UserPrincipalName"
        "priority" = 2
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "RFC822Name"
        "userProperty" = "userPrincipalName"
        "priority" = 3
    }
)
"authenticationModeConfiguration" = @{
    "@odata.type" = "#microsoft.graph.x509CertificateAuthenticationModeConfiguration"
    "x509CertificateAuthenticationDefaultMode" = "x509CertificateMultiFactor"
    "rules" = @(
        @{
            "@odata.type" = "#microsoft.graph.x509CertificateRule"
            "x509CertificateRuleType" = "policyOID"
            "identifier" = "1.3.6.1.4.1.311.21.1"
            "x509CertificateAuthenticationMode" = "x509CertificateMultiFactor"
        }
    )
}
"includeTargets" = @(
    @{
        "targetType" = "group"
        "id" = $group.Id
        "isRegistrationRequired" = $false
    }
) } | ConvertTo-Json -Depth 5
  5. Voer de PATCH-aanvraag uit: 
    Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate" -Body $body -ContentType "application/json"

Volgende stappen